Enterprise Managerでのデータベース管理のセキュリティ・ベスト・プラクティス

4 Enterprise Managerでのデータベース管理のセキュリティ・ベスト・プラクティス

この章では、Enterprise Manager 13を使用してデータベース管理に実装できるセキュリティ・ベスト・プラクティスに関する情報を提供します。内容は次のとおりです。

柔軟なデータベース・アクセス制御

Enterprise Manager 13.1では、Enterprise Managerデータベース・プラグインに対するフレキシブルなデータベース・アクセス制御が導入されました。即時利用可能な新しいロールがデータベース・ペルソナと連携し、管理対象ターゲット・データベースに対するアクセス制御が厳格になっています。この機能が導入される前は、データベースへのアクセス権を付与されたEnterprise Managerユーザーが、すべてのデータベース管理機能(パフォーマンス管理、高可用性管理、ストレージ管理、セキュリティ管理など)へのアクセス権を持っていました。企業には、DBA、アプリケーション開発者、アプリケーションDBA、インフラストラクチャDBAなど、データベース管理機能にアクセスする必要がある様々なクラスのユーザーが存在します。これらのロールに対応するフレキシブルな権限モデルが必要です。たとえば、企業のアプリケーション開発者は表示専用モードでのみパフォーマンス管理機能にアクセスできるようにします。

エンタープライズ・ユーザーに不要な機能およびページへのアクセス権を付与すると、データベースがセキュリティの脆弱性に晒されます。Enterprise Managerユーザーには、各自のジョブの実行に必要な最小限の権限を付与することをお薦めします。これらの即時利用可能なデータベース管理ロールの導入によって、ユーザーには各自のジョブの実行に必要なEnterprise Managerページのみへのアクセス権が付与されます。

Enterprise Managerデータベース・プラグインに対するファイングレイン権限制御によって、データベース・ページの権限制御モデルが提供されます。これによって、Enterprise Managerスーパー管理者は、Enterprise Manager管理者およびユーザーに対して、より限定的な職責の完了に必要な最小アクセス権を付与することができます。

新しい柔軟なDBアクセス制御機能を使用して、データベース管理に高度なセキュリティを実装できます。この項には、次の項目が含まれます。

データベース管理ロールおよび責任

Oracle Enterprise Managerでは、組織でのロールおよび責任に基づいて、DBAにさまざまなレベルのアクセス権を付与できます。組織にセキュリティ・ベスト・プラクティスを実装するために、次のロールが推奨されます。

アプリケーションDBA

アプリケーションDBAとは、データベースでアプリケーション・スキーマ、アプリケーション・オブジェクトおよびアプリケーション・パフォーマンスを管理する制限付きデータベース管理者です。アプリケーションDBAは、データベースでアプリケーションのパフォーマンスの問題を識別して解決できる必要があります。アプリケーションDBAは、適切なパフォーマンスでアプリケーションの稼動を継続させる責任があります。
アプリケーション開発者

アプリケーション開発者とは、アプリケーションを開発する人です。アプリケーション開発者は、顧客から要件を取得して、顧客の要件に応じてアプリケーションを開発します。アプリケーション開発者はOracle Enterprise Managerを使用して、本番環境で最適なパフォーマンスを得るためにアプリケーション・モジュールでSQLを調整します。アプリケーション開発者は、開発、テストおよび本番環境のアプリケーション・モジュールに対して責任を持ちます。
モニタリング・ユーザー

データベース・モニタリング・ユーザーは、本番環境でアプリケーションがスムーズに機能しているかどうか、データベースをモニタリングします。モニタリング・ユーザーは、Enterprise Manager環境で生成されたアラートに応答します。モニタリング・ユーザーは、データベースでメトリックのスケジュールを更新してブラックアウトを設定できます。モニタリング・ユーザーは、本番データベースに変更を加えることはできません。モニタリング・ユーザーはレポートされた問題に対応し、解決する責任のあるDBAに問題が割り当てられていることを確認することで、アプリケーションの稼動を保証します。
データベース管理者

データベース管理者は、インストールの構成、モニタリング、バックアップ、リカバリ、パフォーマンス調整など、完全なデータベース・ライフサイクル管理を実行します。

アプリケーションDBAアクセス

アプリケーションDBAは、Enterprise Managerのパフォーマンス・ページとスキーマ管理ページにアクセスできる必要があります。

アプリケーションDBAアカウントの作成

Enterprise ManagerでアプリケーションDBAアカウントを作成するには:

新規管理者の作成の手順に従って、Enterprise Manager管理者を作成します。
データベース・ターゲットでデータベース・アプリケーションDBA権限を付与します。
データベース・ホスト・ターゲットでFULL権限を付与します。
リソース権限ページを使用して、名前付き資格証明の新規作成権限(名前付き資格証明リソース・タイプ権限ページ)および作成権限(ジョブ・システム・リソース・タイプ権限)を付与します。

名前付き資格証明の作成

名前付き資格証明を作成するには、データベース管理者が独自の名前付き資格証明を作成するか、スーパー管理者(またはシステム・リソース権限を持つ権限付き管理者)が作成してアプリケーションDBAに付与します。名前付き資格証明には、名前付き資格証明に対する表示権限が付与されているため、アプリケーションDBAが名前付き資格証明の内容を把握または確認することはありません。

アプリケーション開発者アクセス

アプリケーション開発者は一般に開発環境で作業し、開発データベースに対するフル・アクセス権を持っています。アプリケーション開発者には通常、本番データベースへのアクセス権は付与されません。ただし、本番環境でのアプリケーション・クエリーのパフォーマンスを確認するために、本番データベースへのアクセス権が必要なこともあります。アプリケーション開発者の本番データベースへのアクセス権は、READ ONLYアクセス権である必要があります。アプリケーション開発者に、データベースに変更を加えることを許可してはなりません。アプリケーション開発者の本番データベースへのアクセス権は、開発者が本番データベースのパフォーマンス管理レポートにアクセスできる程度にする必要があります。

ユーザー管理または付与管理リソース・タイプ権限を持つEnterprise Manager管理者は、Oracle Enterprise Manager 13cでデータベースに対するアプリケーション開発者アクセス権をEnterprise管理者に付与できます。

データベースに対するアプリケーション開発者アクセスの付与

データベースに対するアプリケーション開発者アクセスを付与するには、新規管理者の作成の手順に従ってEnterprise Manager管理者を作成してから、データベースに対するデータベース・アプリケーション開発者権限を付与します。

データベース名前付き資格証明に対するアプリケーション開発者アクセスの付与

データベース管理ページおよびパフォーマンス管理ページにアクセスするには、データベース名前付き資格証明を使用してデータベースにログインする必要があります。アプリケーションDBAはEnterprise Managerで、データベース名前付き資格証明に対する「資格証明の表示」アクセスをアプリケーション開発者に付与する必要があります。データベース名前付き資格証明は少なくとも、データベースでSELECT_CATALOG_ROLEロールを持つ必要があります。

アプリケーション開発者にユーザーのパスワードを与えることはできません。アプリケーション開発者に、ホストまたは任意のデータベース・ホスト名前付き資格証明に対する表示アクセスを付与することはできません。

Enterprise Managerでこのように作成されたアプリケーション開発者アカウントは、Enterprise Managerのパフォーマンス管理ページとスキーマ管理ページのみ表示できます。ユーザーは、データベースに変更を加えることはできません。

データベース・モニタリング・ユーザー・アクセス

データベース・モニタリング・ユーザーはユーザー・アクセス権を持ち、Enterprise Managerのデータベース・モニタリング・ページを表示できます。

データベースに対する「データベース・パフォーマンスの表示」アクセスの付与

データベースに対する「データベース・パフォーマンスの表示」アクセスを付与するには、新規管理者の作成の手順に従ってEnterprise Manager管理者を作成してから、データベース・ターゲットに対する「データベース・パフォーマンスの表示」権限を付与します。

データベース・モニタリング・ユーザーとの資格証明の共有

データベース・モニタリング・ユーザーと資格証明を共有するには:

データベース・モニタリング・ユーザーのデータベース・アカウントを作成します。
データベース・アカウントにSELECT_CATALOG_ROLEロールを付与します。
データベース・アカウントのユーザー名とパスワードを使用して、Enterprise Managerで名前付き資格証明を作成します。
Enterprise Managerで、データベース・モニタリング・ユーザーに名前付き資格証明に対する「資格証明の表示」アクセス権限を付与します。

データベース・モニタリング・ユーザーは、データベース・アカウントを使用してEnterprise Managerでデータベースにログインできるようになりました。

最低限のSELECT_CATALOG_ROLEロールを持っていないユーザーは、Enterprise Managerでデータベースにログインできません。データベース・ログイン・ユーザーが最低限のSELECT_CATALOG_ROLEロールを持っていない場合、次のエラー・メッセージが表示されます。

The application requires more database privileges than you have currently been granted.Click on Help to get more version specific information.

データベース管理者アクセス

データベース管理者は、データベースに対する完全なアクセス権を持っており、データベースですべての操作を実行できます。

データベース管理者アカウントの作成

データベース管理者アカウントを作成するには:

新規管理者の作成の手順に従って、Enterprise Manager管理者を作成します
「管理者<名前>の作成: ロール」ページで、EM_PATCH_ADMINISTRATORおよびEM_PROVISIONING_OPERATORロールを追加します。
ターゲット権限ページの「すべてのターゲットに適用可能な権限」セクションで、「任意のターゲットの追加」権限を付与します。

名前付き資格証明の作成

名前付き資格証明を作成するには、データベース管理者はEnterprise Managerにログインして、データベース名前付き資格証明とホスト名前付き資格証明を作成します。

データベース管理者はデータベースをプロビジョニングして、管理のためにデータベースをEnterprise Managerに追加します。これを行うことで、データベース管理者はEnterprise Managerでデータベースおよびリスナー・ターゲットの所有者になります。所有者は、Enterprise Managerでターゲットに対する完全なアクセス権を持ちます。

ロールおよび権限伝播グループによる権限の付与

Enterprise Managerのロールを作成することで、データベースに対する類似するレベルのアクセス権を複数のユーザーに付与できます。権限をロールに付与して、そのロールをEnterprise Manager管理者に付与できます。ロールのアクセス権の変更は、そのロールを付与されたEnterprise Manager管理者に反映されます。

ユーザーに付与された複数のデータベース間で類似するレベルのアクセス権を管理するには、権限伝播グループを作成する必要があります。データベースを個別に権限伝播グループに追加する必要があります。権限伝播グループに権限を付与できます。グループ・レベルで付与された権限は、グループ・メンバーに自動的に伝播されます。ユーザーは、権限伝播グループに後から追加されたすべてのデータベースに対する権限を自動的に受け取ります。

Enterprise Managerのロールについては、『Oracle Enterprise Manager Cloud Controlセキュリティ・ガイド』の2.2.1項に説明されています。

注意:

Enterprise Managerのロールの詳細は、ユーザー、権限およびロールの理解を参照してください

権限グループ

管理を容易にするために、柔軟なDBアクセス制御権限は大きく12の権限グループに分類されています。次の項で、Enterprise Managerで使用可能な12の権限グループについて説明します。

注意:

この項でリストする権限グループは、次のターゲット・タイプに適用されます。

データベース・インスタンス
クラスタ・データベース
プラガブル・データベース

データベース・アプリケーションDBA

データベース・アプリケーションDBAは、データベースでアプリケーション・スキーマ、アプリケーション・オブジェクトおよびアプリケーション・パフォーマンスを管理できます。また、アプリケーションDBAはデータベースを表示および更新して、データベースのパフォーマンスおよびその他の問題を修正できます。

ターゲット権限	メニュー項目
データベース・パフォーマンス権限グループの管理データベース・スキーマ権限グループの管理	データベース・パフォーマンス権限グループの管理データベース・スキーマ権限グループの管理

ターゲット権限

メニュー項目

データベース・パフォーマンス権限グループの管理

データベース・スキーマ権限グループの管理

データベース・パフォーマンス権限グループの管理

データベース・スキーマ権限グループの管理

データベース・アプリケーション開発者

データベース・アプリケーション開発者は、Enterprise Managerでデータベースのパフォーマンスを確認することはできますが、データベースに変更を加えることはできません。

ターゲット権限	メニュー項目
データベース・パフォーマンス権限グループの表示データベース・スキーマ権限グループの表示	データベース・パフォーマンス権限グループの表示データベース・スキーマ権限グループの表示

ターゲット権限

メニュー項目

データベース・パフォーマンス権限グループの表示

データベース・スキーマ権限グループの表示

データベース・パフォーマンス権限グループの表示

データベース・スキーマ権限グループの表示

「データベース高可用性の管理」権限グループ

「データベース高可用性の管理」権限グループは、Enterprise Managerでデータベース高可用性ページを管理できます。

ターゲット権限	メニュー項目
データベース・バックアップの表示データベース・アドバンスト・キューの表示データベースREDOログの表示リカバリ設定の表示高可用性コンソールの表示データベース・リソースの表示	「可用性」>「MAAアドバイザ」「管理」>「リソース・マネージャ」「可用性」>「バックアップとリカバリ」>「バックアップ・レポート」「可用性」>「バックアップとリカバリ」>「バックアップ設定」「可用性」>「バックアップとリカバリ」>「リカバリ設定」「可用性」>「バックアップとリカバリ」>「リカバリ・カタログ設定」「可用性」>「バックアップとリカバリ」>「トランザクション」

ターゲット権限

メニュー項目

データベース・バックアップの表示

データベース・アドバンスト・キューの表示

データベースREDOログの表示

リカバリ設定の表示

高可用性コンソールの表示

データベース・リソースの表示

「可用性」>「MAAアドバイザ」「管理」>「リソース・マネージャ」「可用性」>「バックアップとリカバリ」>「バックアップ・レポート」「可用性」>「バックアップとリカバリ」>「バックアップ設定」「可用性」>「バックアップとリカバリ」>「リカバリ設定」「可用性」>「バックアップとリカバリ」>「リカバリ・カタログ設定」「可用性」>「バックアップとリカバリ」>「トランザクション」

「データベース高可用性の表示」権限グループ

「データベース高可用性の表示」権限グループは、Enterprise Managerでデータベース高可用性ページを表示できます。

ターゲット権限	メニュー項目
データベース・バックアップの表示データベース・アドバンスト・キューの表示データベースREDOログの表示リカバリ設定の表示高可用性コンソールの表示データベース・リソースの表示	「可用性」>「MAAアドバイザ」「管理」>「リソース・マネージャ」「可用性」>「バックアップとリカバリ」>「バックアップ・レポート」「可用性」>「バックアップとリカバリ」>「バックアップ設定」「可用性」>「バックアップとリカバリ」>「リカバリ設定」「可用性」>「バックアップとリカバリ」>「リカバリ・カタログ設定」「可用性」>「バックアップとリカバリ」>「トランザクション」

ターゲット権限

メニュー項目

データベース・バックアップの表示

データベース・アドバンスト・キューの表示

データベースREDOログの表示

リカバリ設定の表示

高可用性コンソールの表示

データベース・リソースの表示

データベース・パフォーマンス権限グループの管理

このグループのメンバーは、すべてのデータベース・パフォーマンスおよびSQLモニター、SQLパフォーマンス・アナライザ、メモリー・アドバイザ、セグメント・アドバイザなどのアドバイザ機能を管理できます。

ターゲット権限	メニュー項目
データベースSQLアクセス・アドバイザの使用データベースSQL計画の管理制御データベースSQLチューニング・アドバイザの使用データベースSQLチューニング・セットの管理データベースSPA管理データベース・セッションの管理データベース・セグメント管理データベースのメモリー使用量の表示データベース・パフォーマンス権限グループの表示データベース・オプティマイザ統計の管理ターゲットの接続データベースADDM管理データベース・アドバイザ・タスク管理自動化メンテナンス・タスク管理データベース・ASHレポートの管理データベース自動UNDO管理の管理データベースAWR設定の管理データベース・ヘルス・チェッカーの管理データベースのメモリー使用量の管理	「パフォーマンス」>「パフォーマンス・ホーム」「パフォーマンス」>「SQL」>「SQLパフォーマンス・アナライザ・ホーム」「パフォーマンス」>「SQL」>「オプティマイザ統計」「パフォーマンス」>「トップ・アクティビティ」「パフォーマンス」>「ASH分析」「パフォーマンス」>「SQLモニター」「パフォーマンス」>「SQL」>「SQLチューニング・セット」「パフォーマンス」>「SQL」>「SQL計画管理」「パフォーマンス」>「SQL」>「Cloud ControlのSQL履歴」「パフォーマンス」>「SQL」>「SQLの検索」「パフォーマンス」>「セッションの検索」「パフォーマンス」>「ブロックしているセッション」「パフォーマンス」>「アドバイザ・ホーム」「パフォーマンス」>「リアルタイムADDM」「管理」>「記憶域」>「自動UNDO管理」「パフォーマンス」>「AWR」>「AWRレポート」「パフォーマンス」>「AWR」>「AWR管理」「パフォーマンス」>「AWR」>「期間比較ADDM」「パフォーマンス」>「AWR」>「期間比較レポート」「パフォーマンス」>「SQL」>「SQLパフォーマンス・アナライザの設定」「パフォーマンス」>「SQL」>「SQLチューニング・アドバイザ」「パフォーマンス」>「SQL」>「SQLアクセス・アドバイザ」「管理」>「初期化パラメータ」

ターゲット権限

メニュー項目

データベースSQLアクセス・アドバイザの使用

データベースSQL計画の管理

制御

データベースSQLチューニング・アドバイザの使用

データベースSQLチューニング・セットの管理

データベースSPA管理

データベース・セッションの管理

データベース・セグメント管理

データベースのメモリー使用量の表示

データベース・パフォーマンス権限グループの表示

データベース・オプティマイザ統計の管理

ターゲットの接続

データベースADDM管理

データベース・アドバイザ・タスク管理

自動化メンテナンス・タスク管理

データベース・ASHレポートの管理

データベース自動UNDO管理の管理

データベースAWR設定の管理

データベース・ヘルス・チェッカーの管理

データベースのメモリー使用量の管理

「パフォーマンス」>「パフォーマンス・ホーム」

「パフォーマンス」>「SQL」>「SQLパフォーマンス・アナライザ・ホーム」

「パフォーマンス」>「SQL」>「オプティマイザ統計」

「パフォーマンス」>「トップ・アクティビティ」

「パフォーマンス」>「ASH分析」

「パフォーマンス」>「SQLモニター」

「パフォーマンス」>「SQL」>「SQLチューニング・セット」

「パフォーマンス」>「SQL」>「SQL計画管理」

「パフォーマンス」>「SQL」>「Cloud ControlのSQL履歴」

「パフォーマンス」>「SQL」>「SQLの検索」

「パフォーマンス」>「セッションの検索」

「パフォーマンス」>「ブロックしているセッション」

「パフォーマンス」>「アドバイザ・ホーム」

「パフォーマンス」>「リアルタイムADDM」

「管理」>「記憶域」>「自動UNDO管理」

「パフォーマンス」>「AWR」>「AWRレポート」

「パフォーマンス」>「AWR」>「AWR管理」

「パフォーマンス」>「AWR」>「期間比較ADDM」

「パフォーマンス」>「AWR」>「期間比較レポート」

「パフォーマンス」>「SQL」>「SQLパフォーマンス・アナライザの設定」

「パフォーマンス」>「SQL」>「SQLチューニング・アドバイザ」

「パフォーマンス」>「SQL」>「SQLアクセス・アドバイザ」

「管理」>「初期化パラメータ」

データベース・パフォーマンス権限グループの表示

このグループのメンバーは、すべてのデータベース・パフォーマンスおよびSQLモニター、SQLパフォーマンス・アナライザ、メモリー・アドバイザ、セグメント・アドバイザなどのアドバイザ機能を表示できます。

ターゲット権限	メニュー項目
ターゲットへの接続(読取り専用) データベース・アクションの表示データベースADDMの表示データベース・アドバイザ・ホームの表示自動化メンテナンス・タスクの表示データベース・ASHレポートおよび分析の表示データベース自動UNDO管理の表示データベースAWRレポートの表示データベース・ヘルス・チェッカーの表示データベース・クライアントの表示データベース・データ・リカバリ・アドバイザの表示データベース・インメモリー設定の表示データベース管理パッケージのインストールデータベース・モジュールの表示データベース・パフォーマンス・ホームページの表示データベース・オプティマイザ統計の表示データベース・セグメントの表示データベース・サービスの表示データベース・セッションの表示データベースSQLパフォーマンス・アナライザの表示データベースSQLパフォーマンス・モニターの表示データベースSQL計画管理の表示データベースSQLチューニング・セットの表示データベースSQLスクリプトの表示データベース・トップ・アクティビティの表示	「パフォーマンス」>「パフォーマンス・ホーム」「パフォーマンス」>「SQL」>「SQLパフォーマンス・アナライザ・ホーム」「パフォーマンス」>「SQL」>「オプティマイザ統計」「パフォーマンス」>「トップ・アクティビティ」「パフォーマンス」>「ASH分析」「パフォーマンス」>「SQLモニター」「パフォーマンス」>「SQL」>「SQLチューニング・セット」「パフォーマンス」>「SQL」>「SQL計画管理」「パフォーマンス」>「SQL」>「Cloud ControlのSQL履歴」「パフォーマンス」>「SQL」>「SQLの検索」「パフォーマンス」>「セッションの検索」「パフォーマンス」>「ブロックしているセッション」「パフォーマンス」>「アドバイザ・ホーム」「パフォーマンス」>「リアルタイムADDM」「管理」>「記憶域」>「自動UNDO管理」「パフォーマンス」>「AWR」>「AWRレポート」「パフォーマンス」>「AWR」>「AWR管理」「パフォーマンス」>「AWR」>「期間比較ADDM」「パフォーマンス」>「AWR」>「期間比較レポート」

ターゲット権限

メニュー項目

ターゲットへの接続(読取り専用)

データベース・アクションの表示

データベースADDMの表示

データベース・アドバイザ・ホームの表示

自動化メンテナンス・タスクの表示

データベース・ASHレポートおよび分析の表示

データベース自動UNDO管理の表示

データベースAWRレポートの表示

データベース・ヘルス・チェッカーの表示

データベース・クライアントの表示

データベース・データ・リカバリ・アドバイザの表示

データベース・インメモリー設定の表示

データベース管理パッケージのインストール

データベース・モジュールの表示

データベース・パフォーマンス・ホームページの表示

データベース・オプティマイザ統計の表示

データベース・セグメントの表示

データベース・サービスの表示

データベース・セッションの表示

データベースSQLパフォーマンス・アナライザの表示

データベースSQLパフォーマンス・モニターの表示

データベースSQL計画管理の表示

データベースSQLチューニング・セットの表示

データベースSQLスクリプトの表示

データベース・トップ・アクティビティの表示

「パフォーマンス」>「パフォーマンス・ホーム」

「パフォーマンス」>「SQL」>「SQLパフォーマンス・アナライザ・ホーム」

「パフォーマンス」>「SQL」>「オプティマイザ統計」

「パフォーマンス」>「トップ・アクティビティ」

「パフォーマンス」>「ASH分析」

「パフォーマンス」>「SQLモニター」

「パフォーマンス」>「SQL」>「SQLチューニング・セット」

「パフォーマンス」>「SQL」>「SQL計画管理」

「パフォーマンス」>「SQL」>「Cloud ControlのSQL履歴」

「パフォーマンス」>「SQL」>「SQLの検索」

「パフォーマンス」>「セッションの検索」

「パフォーマンス」>「ブロックしているセッション」

「パフォーマンス」>「アドバイザ・ホーム」

「パフォーマンス」>「リアルタイムADDM」

「管理」>「記憶域」>「自動UNDO管理」

「パフォーマンス」>「AWR」>「AWRレポート」

「パフォーマンス」>「AWR」>「AWR管理」

「パフォーマンス」>「AWR」>「期間比較ADDM」

「パフォーマンス」>「AWR」>「期間比較レポート」

データベース・スキーマ権限グループの管理

このグループのメンバーは、表、ビュー、索引、パッケージ、機能などのデータベース・スキーマ要素を管理できます。

ターゲット権限	メニュー項目
データベース・ディレクトリ・オブジェクトの管理データベース・エクスポートの管理データベース・インポートの管理データベース索引の管理データベースJavaコンテンツの管理データベース・マテリアライズド・ビューの管理ビューデータベース表の管理データベース・プロシージャおよび機能の管理データベース・オブジェクトの再編成データベース順序の管理データベース・シノニムの管理データベース・ワークスペースの管理 XMLデータベースの管理データベース・タイプの管理データベース・トリガーの管理データベース・テキスト索引の管理データベース表データの管理データベース・ディメンションの管理データベース・リンクの管理データベース・パッケージおよびパッケージ本体の管理	「スキーマ」>「データベース・オブジェクト」>「シノニム」「スキーマ」>「データベース・オブジェクト」>「順序」「スキーマ」>「データベース・オブジェクト」>「データベース・リンク」「スキーマ」>「データベース・オブジェクト」>「ディレクトリ・オブジェクト」「スキーマ」>「Text Manager」>「テキスト索引」「スキーマ」>「ワークスペース」「スキーマ」>「XMLデータベース」>「リソース」「スキーマ」>「XMLデータベース」>「XMLスキーマ」「スキーマ」>「XMLデータベース」>「XMLTypeビュー」「スキーマ」>「XMLデータベース」>「XML索引」「スキーマ」>「XMLデータベース」>「XMLリポジトリ・イベント」「スキーマ」>「XMLデータベース」>「XMLType表」「スキーマ」>「プログラム」>「パッケージ」「スキーマ」>「プログラム」>「パッケージ本体」「スキーマ」>「プログラム」>「Javaソース」「スキーマ」>「プログラム」>「Javaクラス」「スキーマ」>「マテリアライズド・ビュー」>「マテリアライズド・ビュー」「スキーマ」>「マテリアライズド・ビュー」>「マテリアライズド・ビュー・ログ」「スキーマ」>「マテリアライズド・ビュー」>「リフレッシュ・グループ」>「ディメンション」「スキーマ」>「ユーザー定義タイプ」>「配列タイプ」「スキーマ」>「ユーザー定義タイプ」>「オブジェクト・タイプ」「スキーマ」>「ユーザー定義タイプ」>「表タイプ」「スキーマ」>「データベース・オブジェクト」>「オブジェクトの再編成」「スキーマ」>「データベースのエクスポート/インポート」>「エクスポート・ファイルへのエクスポート...」「スキーマ」>「データベースのエクスポート/インポート」>「エクスポート・ファイルからのインポート...」「スキーマ」>「データベースのエクスポート/インポート」>「データベースからインポート...」「スキーマ」>「データベースのエクスポート/インポート」>「ユーザー・ファイルからのデータのロード...」「スキーマ」>「Text Manager」>「問合せ統計」「スキーマ」>「XMLデータベース」>「構成」「スキーマ」>「変更の管理」>データ比較スキーマ変更計画「スキーマ」>「変更の管理」>「スキーマ・ベースライン」「スキーマ」>「変更の管理」>「スキーマの比較」「スキーマ」>「変更の管理」>「スキーマ変更計画」「スキーマ」>「変更の管理」>「スキーマの同期」

ターゲット権限

メニュー項目

データベース・ディレクトリ・オブジェクトの管理

データベース・エクスポートの管理

データベース・インポートの管理

データベース索引の管理

データベースJavaコンテンツの管理

データベース・マテリアライズド・ビューの管理

ビュー

データベース表の管理

データベース・プロシージャおよび機能の管理

データベース・オブジェクトの再編成

データベース順序の管理

データベース・シノニムの管理

データベース・ワークスペースの管理

XMLデータベースの管理

データベース・タイプの管理

データベース・トリガーの管理

データベース・テキスト索引の管理

データベース表データの管理

データベース・ディメンションの管理

データベース・リンクの管理

データベース・パッケージおよびパッケージ本体の管理

「スキーマ」>「データベース・オブジェクト」>「シノニム」

「スキーマ」>「データベース・オブジェクト」>「順序」

「スキーマ」>「データベース・オブジェクト」>「データベース・リンク」

「スキーマ」>「データベース・オブジェクト」>「ディレクトリ・オブジェクト」

「スキーマ」>「Text Manager」>「テキスト索引」

「スキーマ」>「ワークスペース」

「スキーマ」>「XMLデータベース」>「リソース」

「スキーマ」>「XMLデータベース」>「XMLスキーマ」

「スキーマ」>「XMLデータベース」>「XMLTypeビュー」

「スキーマ」>「XMLデータベース」>「XML索引」

「スキーマ」>「XMLデータベース」>「XMLリポジトリ・イベント」

「スキーマ」>「XMLデータベース」>「XMLType表」

「スキーマ」>「プログラム」>「パッケージ」

「スキーマ」>「プログラム」>「パッケージ本体」

「スキーマ」>「プログラム」>「Javaソース」

「スキーマ」>「プログラム」>「Javaクラス」

「スキーマ」>「マテリアライズド・ビュー」>「マテリアライズド・ビュー」

「スキーマ」>「マテリアライズド・ビュー」>「マテリアライズド・ビュー・ログ」

「スキーマ」>「マテリアライズド・ビュー」>「リフレッシュ・グループ」>「ディメンション」

「スキーマ」>「ユーザー定義タイプ」>「配列タイプ」

「スキーマ」>「ユーザー定義タイプ」>「オブジェクト・タイプ」

「スキーマ」>「ユーザー定義タイプ」>「表タイプ」

「スキーマ」>「データベース・オブジェクト」>「オブジェクトの再編成」

「スキーマ」>「データベースのエクスポート/インポート」>「エクスポート・ファイルへのエクスポート...」

「スキーマ」>「データベースのエクスポート/インポート」>「エクスポート・ファイルからのインポート...」

「スキーマ」>「データベースのエクスポート/インポート」>「データベースからインポート...」

「スキーマ」>「データベースのエクスポート/インポート」>「ユーザー・ファイルからのデータのロード...」

「スキーマ」>「Text Manager」>「問合せ統計」

「スキーマ」>「XMLデータベース」>「構成」

「スキーマ」>「変更の管理」>データ比較スキーマ変更計画

「スキーマ」>「変更の管理」>「スキーマ・ベースライン」

「スキーマ」>「変更の管理」>「スキーマの比較」

「スキーマ」>「変更の管理」>「スキーマ変更計画」

「スキーマ」>「変更の管理」>「スキーマの同期」

データベース・スキーマ権限グループの表示

このグループのメンバーは、表、ビュー、索引、パッケージ、機能などのデータベース・スキーマ要素を表示できます。

ターゲット権限	メニュー項目
XMLデータベースの表示データベース・ワークスペースの表示データベース・タイプの表示データベース・トリガーの表示データベース・テキスト索引の表示データベース表の表示データベース・シノニムの表示データベース順序の表示データベース・プロシージャおよび機能の表示データベース・パッケージおよびパッケージ本体の表示データベースのマテリアライズド・ビューの表示データベースJavaコンテンツの表示データベース索引の表示データベース・ディレクトリ・オブジェクトの表示データベース・ディメンションの表示データベース・リンクの表示	「スキーマ」>「データベース・オブジェクト」>「表」「スキーマ」>「データベース・オブジェクト」>「ビュー」「スキーマ」>「データベース・オブジェクト」>「索引」「スキーマ」>「データベース・オブジェクト」>「シノニム」「スキーマ」>「データベース・オブジェクト」>「順序」「スキーマ」>「データベース・オブジェクト」>「データベース・リンク」「スキーマ」>「データベース・オブジェクト」>「ディレクトリ・オブジェクト」「スキーマ」>「Text Manager」>「テキスト索引」「スキーマ」>「ワークスペース」「スキーマ」>「XMLデータベース」>「リソース」「スキーマ」>「XMLデータベース」>「XMLスキーマ」「スキーマ」>「XMLデータベース」>「XMLTypeビュー」「スキーマ」>「XMLデータベース」>「XML索引」「スキーマ」>「XMLデータベース」>「XMLリポジトリ・イベント」「スキーマ」>「XMLデータベース」>「XMLType表」「スキーマ」>「プログラム」>「パッケージ」「スキーマ」>「プログラム」>「パッケージ本体」「スキーマ」>「プログラム」>「Javaソース」「スキーマ」>「プログラム」>「Javaクラス」「スキーマ」>「マテリアライズド・ビュー」>「マテリアライズド・ビュー」「スキーマ」>「マテリアライズド・ビュー」>「マテリアライズド・ビュー・ログ」「スキーマ」>「マテリアライズド・ビュー」>「リフレッシュ・グループ」>「ディメンション」「スキーマ」>「ユーザー定義タイプ」>「配列タイプ」「スキーマ」>「ユーザー定義タイプ」>「オブジェクト・タイプ」「スキーマ」>「ユーザー定義タイプ」>「表タイプ」

ターゲット権限

メニュー項目

XMLデータベースの表示

データベース・ワークスペースの表示

データベース・タイプの表示

データベース・トリガーの表示

データベース・テキスト索引の表示

データベース表の表示

データベース・シノニムの表示

データベース順序の表示

データベース・プロシージャおよび機能の表示

データベース・パッケージおよびパッケージ本体の表示

データベースのマテリアライズド・ビューの表示

データベースJavaコンテンツの表示

データベース索引の表示

データベース・ディレクトリ・オブジェクトの表示

データベース・ディメンションの表示

データベース・リンクの表示

「スキーマ」>「データベース・オブジェクト」>「表」

「スキーマ」>「データベース・オブジェクト」>「ビュー」

「スキーマ」>「データベース・オブジェクト」>「索引」

「スキーマ」>「データベース・オブジェクト」>「シノニム」

「スキーマ」>「データベース・オブジェクト」>「順序」

「スキーマ」>「データベース・オブジェクト」>「データベース・リンク」

「スキーマ」>「データベース・オブジェクト」>「ディレクトリ・オブジェクト」

「スキーマ」>「Text Manager」>「テキスト索引」

「スキーマ」>「ワークスペース」

「スキーマ」>「XMLデータベース」>「リソース」

「スキーマ」>「XMLデータベース」>「XMLスキーマ」

「スキーマ」>「XMLデータベース」>「XMLTypeビュー」

「スキーマ」>「XMLデータベース」>「XML索引」

「スキーマ」>「XMLデータベース」>「XMLリポジトリ・イベント」

「スキーマ」>「XMLデータベース」>「XMLType表」

「スキーマ」>「プログラム」>「パッケージ」

「スキーマ」>「プログラム」>「パッケージ本体」

「スキーマ」>「プログラム」>「Javaソース」

「スキーマ」>「プログラム」>「Javaクラス」

「スキーマ」>「マテリアライズド・ビュー」>「マテリアライズド・ビュー」

「スキーマ」>「マテリアライズド・ビュー」>「マテリアライズド・ビュー・ログ」

「スキーマ」>「マテリアライズド・ビュー」>「リフレッシュ・グループ」>「ディメンション」

「スキーマ」>「ユーザー定義タイプ」>「配列タイプ」

「スキーマ」>「ユーザー定義タイプ」>「オブジェクト・タイプ」

「スキーマ」>「ユーザー定義タイプ」>「表タイプ」

「データベース・セキュリティの管理」権限グループ

このグループのメンバーは、ユーザー、ロール、プロファイル、透過的データ暗号化、Database Vaultなどのすべてのデータベース・セキュリティ機能を管理できます。

ターゲット権限	メニュー項目
データベース・ロールの管理データベース監査設定の管理データベース監査証跡の管理 Database Vaultの管理データベース仮想プライベート・データベース・ポリシーの管理データベース・ユーザーの管理データベース透過的データ暗号化設定の管理データベース・セキュリティ権限グループの表示データベース・スケジューラの管理データベース・リダクション管理データベース・プロファイルの管理権限分析の管理データベースOracle label securityの管理	「セキュリティ」>「ホーム」「セキュリティ」>「レポート」 Security>Database Vault 「管理」>「Oracle Scheduler」>「ジョブ」「管理」>「Oracle Scheduler」>「ジョブ・クラス」「管理」>「Oracle Scheduler」>「チェーン」「管理」>「Oracle Scheduler」>「スケジュール」「管理」>「Oracle Scheduler」>「プログラム」「管理」>「Oracle Scheduler」>「ウィンドウ」「管理」>「Oracle Scheduler」>「ウィンドウ・グループ」「セキュリティ」>「ロール」「セキュリティ」>「ユーザー」「セキュリティ」>「プロファイル」「セキュリティ」>「監査設定」「セキュリティ」>「透過的データ暗号化」「セキュリティ」>「データ・リダクション」「セキュリティ」>「Label Security」「セキュリティ」>「アプリケーション・コンテキスト」「セキュリティ」>「エンタープライズ・ユーザー・セキュリティ」「セキュリティ」>「仮想プライベート・データベース」「セキュリティ」>「アプリケーション・コンテキスト」「セキュリティ」>「エンタープライズ・ユーザー・セキュリティ」「セキュリティ」>「権限分析」

ターゲット権限

メニュー項目

データベース・ロールの管理

データベース監査設定の管理

データベース監査証跡の管理

Database Vaultの管理

データベース仮想プライベート・データベース・ポリシーの管理

データベース・ユーザーの管理

データベース透過的データ暗号化設定の管理

データベース・セキュリティ権限グループの表示

データベース・スケジューラの管理

データベース・リダクション管理

データベース・プロファイルの管理

権限分析の管理

データベースOracle label securityの管理

「セキュリティ」>「ホーム」

「セキュリティ」>「レポート」

Security>Database Vault

「管理」>「Oracle Scheduler」>「ジョブ」

「管理」>「Oracle Scheduler」>「ジョブ・クラス」

「管理」>「Oracle Scheduler」>「チェーン」

「管理」>「Oracle Scheduler」>「スケジュール」

「管理」>「Oracle Scheduler」>「プログラム」

「管理」>「Oracle Scheduler」>「ウィンドウ」

「管理」>「Oracle Scheduler」>「ウィンドウ・グループ」

「セキュリティ」>「ロール」

「セキュリティ」>「ユーザー」

「セキュリティ」>「プロファイル」

「セキュリティ」>「監査設定」

「セキュリティ」>「透過的データ暗号化」

「セキュリティ」>「データ・リダクション」

「セキュリティ」>「Label Security」

「セキュリティ」>「アプリケーション・コンテキスト」

「セキュリティ」>「エンタープライズ・ユーザー・セキュリティ」

「セキュリティ」>「仮想プライベート・データベース」

「セキュリティ」>「アプリケーション・コンテキスト」

「セキュリティ」>「エンタープライズ・ユーザー・セキュリティ」

「セキュリティ」>「権限分析」

「データベース・セキュリティの表示」権限グループ

このグループのメンバーは、ユーザー、ロール、プロファイル、データ暗号化、Data Vault、Audit Vaultなどのすべてのデータベース・セキュリティ機能を表示できます。

ターゲット権限	メニュー項目
データベース監査設定の表示データベース監査証跡の表示Database Vaultのモニター・データベース機能の使用状況の表示データベースOracle label securityの表示権限分析の表示データベース・プロファイルの表示データベース・リダクションの表示データベース・ロールの表示データベース・スケジューラの表示データベース・セキュリティ・ホームの表示データベース・セキュリティ・レポートの表示データベース透過的データ暗号化設定の表示データベース・ユーザーの表示データベース仮想プライベート・データベース・ポリシーの表示	「セキュリティ」>「ホーム」「セキュリティ」>「レポート」 Security>Database Vault 「管理」>「Oracle Scheduler」>「ジョブ」「管理」>「Oracle Scheduler」>「ジョブ・クラス」「管理」>「Oracle Scheduler」>「チェーン」「管理」>「Oracle Scheduler」>「スケジュール」「管理」>「Oracle Scheduler」>「プログラム」「管理」>「Oracle Scheduler」>「ウィンドウ」「管理」>「Oracle Scheduler」>「ウィンドウ・グループ」「セキュリティ」>「ロール」「セキュリティ」>「ユーザー」「セキュリティ」>「プロファイル」「セキュリティ」>「監査設定」「セキュリティ」>「透過的データ暗号化」「セキュリティ」>「データ・リダクション」「セキュリティ」>「Label Security」「セキュリティ」>「アプリケーション・コンテキスト」「セキュリティ」>「エンタープライズ・ユーザー・セキュリティ」「セキュリティ」>「仮想プライベート・データベース」「セキュリティ」>「アプリケーション・コンテキスト」「セキュリティ」>「エンタープライズ・ユーザー・セキュリティ」「セキュリティ」>「権限分析」

ターゲット権限

メニュー項目

データベース監査設定の表示データベース監査証跡の表示Database Vaultのモニター・データベース機能の使用状況の表示データベースOracle label securityの表示権限分析の表示データベース・プロファイルの表示データベース・リダクションの表示データベース・ロールの表示データベース・スケジューラの表示データベース・セキュリティ・ホームの表示データベース・セキュリティ・レポートの表示データベース透過的データ暗号化設定の表示データベース・ユーザーの表示データベース仮想プライベート・データベース・ポリシーの表示

「セキュリティ」>「ホーム」

「セキュリティ」>「レポート」

Security>Database Vault

「管理」>「Oracle Scheduler」>「ジョブ」

「管理」>「Oracle Scheduler」>「ジョブ・クラス」

「管理」>「Oracle Scheduler」>「チェーン」

「管理」>「Oracle Scheduler」>「スケジュール」

「管理」>「Oracle Scheduler」>「プログラム」

「管理」>「Oracle Scheduler」>「ウィンドウ」

「管理」>「Oracle Scheduler」>「ウィンドウ・グループ」

「セキュリティ」>「ロール」

「セキュリティ」>「ユーザー」

「セキュリティ」>「プロファイル」

「セキュリティ」>「監査設定」

「セキュリティ」>「透過的データ暗号化」

「セキュリティ」>「データ・リダクション」

「セキュリティ」>「Label Security」

「セキュリティ」>「アプリケーション・コンテキスト」

「セキュリティ」>「エンタープライズ・ユーザー・セキュリティ」

「セキュリティ」>「仮想プライベート・データベース」

「セキュリティ」>「アプリケーション・コンテキスト」

「セキュリティ」>「エンタープライズ・ユーザー・セキュリティ」

「セキュリティ」>「権限分析」

「データベース記憶域の管理」権限グループ

このグループのメンバーは、データベース記憶域を管理できます。

ターゲット権限	メニュー項目
データベース制御ファイルの管理データベース・データファイルの管理データベースREDOログの管理データベース表領域の管理データベース・トランスポート表領域の管理	「管理」>「記憶域」>「アーカイブ・ログ」「管理」>「記憶域」>「データファイル」「管理」>「記憶域」>「制御ファイル」「管理」>「記憶域」>「REDOログ・グループ」「管理」>「記憶域」>「表領域」「管理」>「記憶域」>「一時表領域グループ」「管理」>「記憶域」>「データベース・ファイル・システム」「管理」>「記憶域」>「情報ライフサイクル管理」

ターゲット権限

メニュー項目

データベース制御ファイルの管理

データベース・データファイルの管理

データベースREDOログの管理

データベース表領域の管理

データベース・トランスポート表領域の管理

「管理」>「記憶域」>「アーカイブ・ログ」

「管理」>「記憶域」>「データファイル」

「管理」>「記憶域」>「制御ファイル」

「管理」>「記憶域」>「REDOログ・グループ」

「管理」>「記憶域」>「表領域」

「管理」>「記憶域」>「一時表領域グループ」

「管理」>「記憶域」>「データベース・ファイル・システム」

「管理」>「記憶域」>「情報ライフサイクル管理」

データベースへのセキュアな通信(TCPS)アクセス

TCPS対応のリスナーを検出、モニタリングおよび管理するための即時利用可能なサポートが提供されています。管理プロビジョニング・フローまたはクラウド・セルフ・サービス・ポータルを介して作成したすべてのデータベースでは、デフォルトでSSL対応の接続文字列がサポートされます。TCPS接続プロトコルを構成することで、ターゲット・データベースを安全にモニターできます。セキュアなアクセスを構成することで、OMSとデータベース・サーバー・ターゲット間およびエージェントとデータベース・サーバー・ターゲット間でデータ転送の暗号化が有効になります。

企業はクラウド・ソリューションを目指しているため、セキュアなユーザー認証は製品提供における主要な要件の1つです。(Enterprise Manager 11gで導入された) Oracleのデフォルト認証プロトコルO3LOGONおよびO5LOGONが改良されて、TCPプロトコルよりもセキュアなTCPSプロトコルを使用したOracle Database Serverへのユーザー認証が可能になりました。

注意:

セキュアな認証を使用することによる、通常のデータベース・パフォーマンスへの影響はありません。

TCPSの構成

TCPSを構成する手順は、次のとおりです。

ターゲット・データベースでOracle Advanced Security TLS設定を有効にします。
For TLSv1.2 configuration,

1) sqlnet.oraまたはlistener.oraファイルでSSL_VERSIONを1.2に設定して、TLSv1.2を構成します。

2) sqlnet.oraファイルのSSL_CLIENT_AUTHENTICATIONパラメータをTRUEに設定します。
サード・パーティCA証明書でセキュアなウォレットを構成します。
OMSおよびエージェントの通信用にサード・パーティCA証明書ウォレットを構成します。
ターゲット・データベースのモニタリング構成プロパティで、接続プロトコルをTCPSに設定します。

ターゲット・データベースとの通信用のサード・パーティCA証明書の構成

セキュアなターゲット・モニタリングのために、OMSサーバーおよびエージェントで次のプロパティ・セットを設定する必要があります。OMSとエージェントをバウンスして、変更内容を有効にします。

注意:

emctlの詳細は、『Oracle Enterprise Managerライフサイクル・マネージメント管理者ガイド』のemctl partoolユーティリティの使用に関する項を参照してください。

OMSサーバーで設定するプロパティ:

#Client権限
- emctl set property -sysman_pwd sysman -name em.targetauth.db.pki.KeyStore -value <…wallet..>
- emctl set property -sysman_pwd sysman -name em.targetauth.db.pki.KeyStorePassword -value <…>
- emctl set property -sysman_pwd sysman -name em.targetauth.db.pki.KeyStoreType -value <..>

#Server権限
- emctl set property -sysman_pwd sysman -name em.targetauth.db.pki.TrustStorePassword -value <…>
- emctl set property -sysman_pwd sysman -name em.targetauth.db.pki.TrustStoreType -value <..>
- emctl set property -sysman_pwd sysman -name em.targetauth.db.pki.TrustStore -value <…wallet..>

ターゲット・データベース・ホストのエージェントに設定するプロパティ:

#Client権限
- emctl setproperty agent -name connectionKeyStoreLocation -value <…wallet..>
- emctl setproperty agent -name connectionKeyStoreType -value <..>
- emctl setproperty agent -name connectionTrustStoreType -value <..>

#Server権限
- emctl setproperty agent -name connectionTrustStoreLocation -value <…wallet..>
- emctl setproperty agent -name connectionTrustStorePassword -value <..>
- emctl setproperty agent -name connectionTrustStoreType -value <..>

アカウント管理

ターゲット・データベース・アカウント管理のために、次の新しいEM CLI動詞が追加または変更されています。

注意:

これらの動詞の詳細(例を含む)は、Oracle Enterprise Managerコマンドライン・インタフェースのVerbリファレンスを参照してください。

get_db_profile

特定の検索条件のプロファイル、リソース名、リソース・タイプ、制限など、データベース・プロファイルの詳細を表示します。次の例では、DEFAULTという名前のプロファイルに関する詳細を示します。
```
emcli get_db_profile 
      -target_name=myDB 
      -profile= DEFAULT 
      -connect_as="DBNamedCreds:SYS_myDB"
```
get_db_account

特定の検索条件のユーザー名、プロファイル、アカウント・ステータス、認証タイプなど、データベース・アカウントの詳細を表示します。次の例では、ユーザーAdmin1の詳細を示します。
```
emcli get_db_account 
      -target_name=myDB 
      -user_name=Admin1  
      -connect_as"DBNamedCreds:SYS_myDB"
```
update_db_account_status

データベース・アカウント・ステータスをLOCKED、OPEN、EXPIREDまたはLOCKED & EXPIREDに更新します。次の例では、アカウントをロックします。
```
emcli update_db_account_status   
      -target_name=myDB   
      -user_name=Admin1 
      -action=LOCK  
      -connect_as="DBNamedCreds:SYS_myDB"
```
update_db_password

Enterprise Manager資格証明サブシステムでターゲット・データベースのパスワード変更を更新します。ターゲット・データベースでパスワードを変更することもできます。このverbでは、収集またはモニタリング資格証明がEnterprise Manager管理エージェントに伝播されます。

EM CLI動詞update_db_passwordで、SYS/SYSDBAユーザーを含むすべてのユーザーのパスワードを変更できるようになりました。この動詞で、データベース・ターゲットおよびすべてのEnterprise Manager資格証明のパスワードを変更できます。RACおよびDataguardインスタンス間でパスワード・ファイルを同期します。他のユーザーのパスワード変更に使用される場合、データベース名前付き資格証明を受け入れてデータベース・ターゲットにログインします。次の例では、データベース・パスワードを更新します。
```
emcli update_db_password
      -target_name=myDB
      -user_name=Admin1
```